CVE-2025-24372

Nome do Software Vulnerável e Versões Afetadas: Versões do CKAN anteriores a 2.10.7 e 2.11.2

Descrição: O CKAN é um sistema de gerenciamento de dados de código aberto para operar hubs e portais de dados. Um usuário poderia potencialmente fazer upload de um arquivo contendo código que, quando executado, poderia enviar solicitações arbitrárias ao servidor. Se um administrador abrir este arquivo, isso poderia levar à elevação de privilégios do remetente original ou a outras ações maliciosas. Os usuários precisam estar registrados no site para explorar esta vulnerabilidade.

Recomendações: Para versões anteriores a 2.10.7 e 2.11.2, os mantenedores do site podem restringir os tipos de arquivo suportados para upload usando as opções de configuração ckan.upload.user.mimetypes / ckan.upload.user.types e ckan.upload.group.mimetypes / ckan.upload.group.types. Para desabilitar completamente o upload de arquivos, pode-se usar: ckan.upload.user.types = none Recomenda-se atualizar para o CKAN 2.10.7 ou 2.11.2 para corrigir o problema.